Citrix SD-WAN

Citrix SD-WAN 11.0.3 — Versionshinweise

Einführung

In diesem Versionshinweis werden neue, behobene Probleme und bekannte Probleme beschrieben, die für die Citrix SD-WAN -Softwareversion 11.0, Version 3 für die SD-WAN Standard Edition, WANOP, Premium Edition-Appliances und das SD-WAN Center gelten.

Weitere Informationen zu den vorherigen Versionen finden Sie in der Citrix SD-WAN-Dokumentation.

Hinweis

  • CVE-2019-19781 - Sicherheitsanfälligkeit in Citrix SD-WAN WANOP Appliances (gilt NUR für 4000-WO, 4100-WO, 5000-WO, 5100-WO Plattformmodelle), die zur Ausführung willkürlichen Codes führt, ist in Release 10.2.6b behoben. Weitere Informationen finden Sie unter CVE KB.

  • Die Version 11.0.3.1018 enthält Sicherheitsupdates, und Citrix empfiehlt, dass der Patch von allen Kunden auf Amazon Web Services angewendet wird.

Was ist neu?

Unterstützung mehrerer Hubs für Microsoft Virtual WAN

Mit Version 11.0.3 kann ein Zweig mit mehreren Hubs innerhalb einer virtuellen Azure WAN-Ressource verbunden werden. Eine virtuelle Azure-WAN-Ressource kann mit mehreren lokalen Zweigstandorten verbunden werden. Ein Zweigstandort muss Azure WAN-Ressourcen zugeordnet werden, um IPsec-Tunnel einzurichten.

SD-WAN Standard Edition (SE) VPX Kennwortänderung

Ab Version 11.0.3 ist es zwingend erforderlich, das Standardkennwort für das Administratorkonto während der Provisioning einer SD-WAN-Appliance oder beim Bereitstellen eines neuen SD-WAN SE VPX zu ändern. Diese Änderung wird sowohl mit CLI als auch mit der Benutzeroberfläche erzwungen.

Ein Systemwartungskonto - CBVWSSH, existiert für die Entwicklung und das Debuggen und verfügt über keine externen Anmeldeberechtigungen. Auf das Konto kann nur über die CLI-Sitzung eines regulären Administrator-Benutzers zugegriffen werden.

SD-WAN 210-LTE Firmware-Upgrade

Mit Version 11.0.3 wird die aktive LTE-Firmware im Rahmen des Einzelschritt-Upgrade-Pakets aktualisiert. Um ein Upgrade durchzuführen, müssen Sie das Zeitplanfenster über die Seite Einstellungen für die Änderungsverwaltung aktualisieren oder auf die standardmäßige geplante Zeit warten, um die LTE-Firmware zu aktualisieren (täglich um 21:20:00 Uhr).

Behobene Probleme

SDWANHELP-941: Während des Konfigurationsupdates verpassen wir möglicherweise das Zurücksetzen des virtuellen Pfadwechsel-Ereignisses und könnte zu diesem Fehler führen, bei dem wir die Routen nicht herunterfahren, selbst wenn der entsprechende virtuelle Pfad ausfällt.

SDWANHELP-961: Dieses Problem betrifft möglicherweise SD-WAN 4000 und 5000 WANOP-Appliances. Nachdem die Appliance über ein Jahr 10.1.0 bis 10.2.5 ausgeführt hat, besteht die Möglichkeit, dass zu viele Daten in den Protokollen gespeichert werden.

SDWANHELP-988: RADIUS- und TACACS+-Benutzer sind nicht in der Lage, Diagnosepaket von SD-WAN Center UI zu generieren. Diagnosepaketerstellung über Terminal schlägt für alle Benutzer fehl. Die Option Konfiguration > Lizenzierung ist auf der Benutzeroberfläche des SD-WAN Centers nicht verfügbar.

SDWANHELP-1000: Immer wenn NetFlow mit Hochverfügbarkeits-Setup (HA) aktiviert ist, tritt HA-Klappe aufgrund fehlender Ressourcen auf.

SDWANHELP-1023: SD-WAN-Dienst Neustarts können auftreten, wenn die Pakete nach NAT-Übersetzung falsch weitergeleitet werden.

SDWANHELP-1035: Routen werden nicht korrekt über MCN und RCN an entfernte Standorte weitergegeben.

SDWANHELP-1042: SD-WAN stürzt ab, wenn Benutzer eine veröffentlichte Anwendung neu startet, die in einer vorhandenen HDX-Sitzung getrennt wurde und sie schließt.

SDWANHELP-1049: Virtual WAN Virtual Machine (VM) auf XenServer basierten Plattformen kann einen großen Zeitversatz aufweisen. In diesem Fall wird die Zeit auf der virtuellen WAN-VM nach dem Neustart ungenau angezeigt.

SDWANHELP-1051: Bei Lizenzserverversionen unter v11.16.3 können sie zu Denial-of-Service (DOS) -Angriffen führen, die alle älteren Lizenzserver unter 11.16.3 beeinflussen.

SDWANHELP-1070: Die Uhrzeit wird nach der Änderung nicht mit der Hardware-Uhr synchronisiert. Beispiel: manuelle Zeitaktualisierung oder NTP-Zeitaktualisierung.

SDWANHELP-1088: Einige der GUI-Seiten der SD-WAN-Appliance reagieren möglicherweise nicht mehr, wenn eine Appliance neu gestartet wird, nachdem die PAC-Dateifunktion aktiviert ist.

SDWANHELP-1095: FTP Application Layer Gateway (ALG) möglicherweise nicht korrekt analysiert FTP-Sitzungen, wenn EPSV- oder EPRT-Modi verwendet werden, die einen Fehler in der FTP-Sitzung verursachen.

SDWANHELP-1112: BGP Autonomes System (AS) Nummer unterstützt eine 32-Bit-Nummer.

SDWANHELP-1113: Nach dem Upgrade auf 11.0.2 kann zeitweise nicht auf die Management-GUI auf nur WANOP-Plattformen zugreifen.

SDWANHELP-1116: Während der Konfigurationsupdates verpassen wir möglicherweise die Verarbeitung von Synchronisationsereignissen aufgrund von Hochverfügbarkeitsklappen (HA). Dies könnte dazu führen, dass die Appliance in einen Problemzustand versetzt wird, wo die Routensynchronisierung nicht mit anderen Zweigen erfolgt und zu einem Netzwerkausfall führt.

SDWANHELP-1123: Beim Konfigurieren einer Routingdomäne mit nur einer DHCP-Schnittstelle wird ein Überwachungsfehler angezeigt.

SDWANHELP-1160: Das Citrix SD-WAN Center zeigt doppelte IP-Adressen unter WAN-Links für eine Site im Konfigurations-Editor an. Das Problem tritt auf, wenn die vierte Zahl in zwei WAN-Link-IP-Adressen mit der gleichen Ziffer beginnt und durch die Anzahl der Ziffern wie 4, 45, 486 variiert.

SDWANHELP-1164: Wenn beim Übertragen der Appliance-Einstellungen aus dem SD-WAN Center das Kennwort in den Appliance-Einstellungen ein Dollarsymbol gefolgt von einem Zeichen enthält, schlägt die Übertragung fehl. Beispielsweise schlagen die Passwörter test$1, test$1$d fehl. Aber test1$ wird funktionieren.

SDWANHELP-1169: Der Dienst wird abgebrochen, wenn ein Paket für die Übertragung für einen DVP geplant ist, für den noch nicht entfernt werden soll. Die Software versucht fälschlicherweise, es aus einer leeren Paketliste zu entfernen. Die Software wurde aktualisiert.

SDWANHELP-1176: Aufgrund einiger verwaister Einträge in der Konfigurationsdatenbank löst die GET API für config_editor/virtual_paths einige Ausnahmen zusammen mit der Antwort aus. Das Kaskadierende Löschen wurde behoben, um verwaiste Datenbankeinträge zu vermeiden.

SDWANHELP-1189: Während des Software-Appliance-Upgrades kann der Installationsprozess auf den SD-WAN 210 Standard Edition-Appliances (SE) fehlschlagen. Bei der Fehlererkennung startet die Appliance automatisch neu, um das Problem zu vermeiden, damit das Upgrade fortgesetzt werden kann.

SDWANHELP-1201: Das LTE-Modem kann sporadisch selbst neu starten. Beim Start einer Datensitzung meldet das Modem ständig einen Fehler - der Dienst wird nicht unterstützt. Die Lösung besteht darin, das Modem automatisch zu deaktivieren und wieder zu aktivieren, um den Fehler wiederherzustellen.

SDWANHELP-1385: Die Seriennummer des SD-WAN-Geräts gehen möglicherweise aufgrund eines Problems in der BIOS-Firmware v1.0b auf der SD-WAN 210-Plattform auf der SD-WAN 210-Plattform auf der Standardzeichenfolge zurück.

SDWANHELP-1365: In einem GEO-MCN-Setup mit hoher Verfügbarkeit und aktivierter WAN-to-WAN-Weiterleitung kann ein Down-Ereignis des Internetdienstes ein fehlerhaftes Szenario auslösen, bei dem Routen, die vom sekundären GEO-MCN gelernt wurden, eine höhere Priorität haben als der primäre GEO-MCN.

NSSDW-22847: Das Multi-Hop-Kontrollkästchen in BGP wurde standardmäßig in der SD-WAN-Benutzeroberfläche aktiviert angezeigt, wenn BGP aktiviert ist. Die Einstellung wurde jedoch nicht aktiviert, es sei denn, der Benutzer deaktiviert und aktiviert sie wieder.

NSSDW-25032: Der Multiple Exit Discriminator (MED) wurde dem Nachbarn nicht beworben, wenn eine BGP-Richtlinie mit MED-Metriken konfiguriert und an einen Nachbarn gebunden ist. Dieses Problem war ein falsches Netzwerkpräfix (32), das vom Compiler festgelegt wurde.

NSSDW-25067: Eine Warnmeldung oder eine Besetztnachricht wird angezeigt, wenn das LTE-Modem deaktiviert ist und erneut aktiviert wird, bevor der Betriebsmodus auf Lower Powerumgeschaltet hat. Die Lösung besteht darin, den Benutzer zu warnen und den aktuellen Betriebsmodus anzuzeigen, bevor der Aktivierung/Deaktivierungsvorgang ausgeführt wird.

NSSDW-25135: Manchmal wurden während der Zscaler-Bereitstellung falsche Konfigurationen verwendet, um das Mapping zu erstellen. Das Problem tritt aufgrund fehlerhafter doppelter Einträge in der Datenbank auf. Der Fix stellt sicher, dass keine doppelten Einträge in der Datenbank vorhanden sind.

NSSDW-25147: Wenn die PPPoE-Funktion in SD-WAN-Appliances konfiguriert ist, wird der Point-to-Point-Protokoll-Daemon (PPPD) zur Einrichtung der PPPoE-Sitzungen ausgeführt. Diese Konfiguration ist anfällig für CVE-2020-8597, einem Pufferüberlauf. Dieses Problem wurde ab Version 11.1.0 behoben.

NSSDW-25440: Bei Instanzen mit aktivierter Netzwerkbeschleunigung können in Azure erhebliche Paketverluste oder Netzwerkverzögerungen beobachtet werden.

NSSDW-28971: Sobald Sie sich bei den SD-WAN-Appliances und virtuellen Maschinen angemeldet haben, erhalten Sie möglicherweise Root-Shell-Zugriff mit dem 11.x-basierten Image mit einem fest codierten Kennwort. Die betroffenen SD-WAN-Plattformen sind 110 und VPXs mit 11.x-Images bereitgestellt. Dies ist ein CLI-bezogenes Problem und gilt nicht für GUI.

Bekannte Probleme

NSSDW-23264: Das Abrufen einer Remote-Lizenz schlägt fehl, wenn SD-WAN Center Build auf 11.x ist, während Appliance-Build auf 10.x ist.

Problemumgehung: Downgrade SD-WAN Center erstellt auf das gleiche wie 10.x, mit dem die SD-WAN-Appliance konfiguriert ist.

NSSDW-23132: Nach dem Upgrade auf 11.x kann die tatsächliche Verkehrsunterbrechungszeit in Sekunden sehr groß sein.

Problemumgehung: Nachfolgende Änderungsverwaltung zeigt den korrekten Wert an, dies ist nur ein Anzeigeproblem.

NSSDW-23134: Ein konsistenter Software-Push kann auftreten, wenn versucht wird, eine Site zum Netzwerk hinzuzufügen, wenn das Netzwerk gerade auf 11.x aktualisiert wurde.

Problemumgehung: Führen Sie das Änderungsmanagement erneut durch.

NSSDW-23485: Cloud Direct lässt den Betrieb nicht zu, wenn eine aktive Konfiguration auf MCN ein Punktzeichen im Namen hat.

Problemumgehung: Aktualisieren Sie den Konfigurationsdateinamen ohne DOT.

SDWANHELP-1110: In einem seltenen Szenario kann eine Unterbrechung im Datenpfad-Service in den Lower-End-Appliances (210/410) beobachtet werden, wenn kurzlebige dynamische virtuelle Pfade kontinuierlich erstellt werden.

Problemumgehung: Deaktivieren Sie den Dynamic Virtual Path (DVP) oder passen Sie die Konfiguration an, um kurzlebige DVPs zu vermeiden.

SDWANHELP-1159: Citrix SD-WAN wirbt nicht für die Routen zum OSPF-Nachbarn an. Dies geschieht, wenn die Routen im SD-WAN geändert werden oder virtuelle Pfade Klappe passiert, was dazu führt, dass virtuelle WAN-Routen über die Standorte neu synchronisiert werden. Wenn in diesem Fall die Verbindung zum OSPF-Peer verlustbehaftet ist, kann SD-WAN einen Zustand eingeben, in dem es niemals die SD-WAN-Routen an OSPF-Nachbarn ankündigt.

Problemumgehung: Stoppen und starten Sie den virtuellen WAN-Dienst neu.

NSSDW-27727: Netzwerke mit VPX und VPXL-Instanz, die den IXGBEVF-Treiber verwenden, die für bestimmte Intel 10-GB-NICs verwendet werden, wenn SR-IOV aktiviert ist, dürfen nicht auf 11.0.3 aktualisiert werden. Dies kann zu einem Verlust der Konnektivität führen. Dieses Problem wirkt sich bekanntermaßen auf AWS-Instanzen mit aktiviertem SR-IOV aus.

Citrix SD-WAN 11.0.3 — Versionshinweise